今時今日隨街可見QR code (二維碼) ,一經掃瞄便可即時存取網站、聯絡資料等資訊。無論是防疫措施還是電子付款,甚至乎酒樓餐廳自助落單都能見到QR Code的蹤影。儘管QR Code技術本身是安全的,但隨著大家對它愈加依賴,網絡犯罪分子會千方百計想利用它犯案。
認識QR code潛在攻擊及對應手法非常重要。香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)作為網絡保安專家,以四種常見的QR Code應用:流動支付、網站瀏覽、賬戶驗證及訊息儲存,概述有關風險和保安建議作參考:
第一,流動支付
風險:商戶遭不法分子掉換其靜態QR code,用戶若不慎掃瞄,支付金額就會轉到不法分子的帳戶,商戶及用戶皆會面對金錢損失。
保安建議:以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄。
第二,網站瀏覽
風險:由於用QR code儲存網址非常普遍,不法分子會設立釣魚網站,然後以QR code暗藏該釣魚網站的網址,然後透過電子郵件或其他方式散播,誘騙受害人登入有關網站,輸入銀行賬戶密碼或個人資料等。
保安建議:掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code。餐廳若是使用QR code點餐平台,用戶切勿將點餐QR code上載到社交平台。
第三,賬戶驗證
風險:不法分子會複製通訊軟件的登錄QR code,然後發送至用戶。如果掃瞄了那些QR code,黑客便能取得受害人帳戶。
保安建議:只掃瞄官方網站內的賬戶驗證QR code。如發現不尋常的登入記錄,應立即向服務供應商查詢。
第四,訊息儲存
風險:QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料,若資料沒有加密,便會有資料外洩的潛在風險。
保安建議:商戶應該避免將敏感訊息儲存在QR code內;如要儲存敏感訊息,需先把資料加密,再儲存在QR code內,以防止資料被非法讀取。
Comentários